È venerdì sera, in tarda serata, quando nella vostra casella di posta elettronica compare un messaggio dell'amministratore delegato dal titolo: "Serve un trasferimento urgente il prima possibile!" Cosa fate?
Questo è uno scenario con il quale molte persone stanno diventando sempre più familiari nel moderno mondo digitale. Purtroppo, il morso degli attacchi di phishing si fa sentire in tutto il Regno Unito e a livello globale, con un aumento del 65% nel 2016. Questo fa sì che molte organizzazioni si trovino ad affrontare la crescente pressione di proteggere ed educare adeguatamente i propri dipendenti in merito a queste minacce. Che cos'è un'e-mail di phishing? Di seguito sono riportati alcuni consigli scritti dal punto di vista di un hacker "MataHacky's Guide" su come individuare il Phish e reagire!
#1 Va bene generalizzare...ma se sei un vero professionista Spear Phish!
Quando si inizia e ci si rivolge a più persone in una volta sola, va bene mantenere il nome generico, perché stiamo cercando solo un babbeo da abboccare. Per esempio, 'Caro cliente' è abbastanza per aprire con e sarà spesso trascurato da un ignaro sciocco in movimento con le loro vite impegnate. Molti di loro non si chiederanno nemmeno se l'email non è personalizzata e se non ci si rivolge a loro per nome. È importante notare però che con l'aumento della consapevolezza, sempre più persone inizieranno a vedere questa generalizzazione come un rivelatore di minacce. Questo ci porta a dove si trova il vero denaro e il gioco cambia ritmo: lo spear phishing! Fondamentalmente, stai cercando di ricercare il tuo obiettivo, scoprire il suo nome, il luogo di lavoro e anche il nome del suo capo per creare un phish personalizzato super convincente!
#2 Creare un senso di urgenza!
Questa è la chiave. Devi instillare la paura nel pubblico. Senza questo potrebbero guardare più da vicino gli altri difetti della tua email come gli errori di ortografia e diventare cauti. Come un cavallo fuori dalla trappola devi entrarci subito. Iniziare con l'oggetto dell'email 'Urgente- attività sospetta sul tuo account X' è di solito un ottimo modo per aprire e ottenere la loro attenzione. Ricordati di mantenere questo livello di urgenza per tutta la tua email e sarai su un vincitore. Il panico è la chiave per un buon phish. Pensate a ciò che è più prezioso, come i dettagli che causeranno danni finanziari o imbarazzo reputazionale, mettetelo in una situazione di pericolo e sarete destinati ad avere un morso.
#3 Attenzione all'ortografia e alla grammatica.
E' vero che se riesci ad inchiodare gli altri punti che ho elencato, puoi cavartela con qualche errore ortografico o grammaticale... tuttavia devi tenere d'occhio la quantità di errori ortografici nel tuo testo. Uno o due probabilmente passeranno inosservati, ma il super appassionato di phish spotter non sarà ingannato, quindi cercate di ripassare questi errori il meglio possibile. Dopo tutto, ogni azienda veramente professionale non avrà errori di ortografia nelle email che invia ai propri clienti.
D'altra parte, gli errori di ortografia ti aiuteranno a creare la perfetta lista di babbei. Voglio dire, se cadono per un'email di phishing piena di errori di ortografia, per cos'altro potrebbero cadere? Potresti anche condividere i dettagli di contatto di questi babbei con i tuoi amici hacker in modo che possano prendere di mira anche loro!
#4 Creare un indirizzo e-mail e dei link di spoofing davvero convincenti!
Per assicurarsi che quei pazzi abbocchino e clicchino sul link che fornisci devi assicurarti che l'indirizzo email da cui stai operando sembri legittimo. Solo un carattere diverso da quello reale sarà di solito sufficiente per ingannarli e fargli cliccare il link, ancora una volta l'attenzione delle persone ai dettagli è spesso carente, quindi se vedono un'email arrivare da '[email protected]' molti trascureranno questi piccoli errori. Applica la stessa idea anche ai tuoi link! Falli sembrare il più reale possibile e puoi cavartela anche solo con un piccolo carattere mancante o aggiunto qua e là. Lo spoofing è un'arte, quindi se vuoi essere un maestro, è meglio che ti eserciti!
Ricorda che il 91% degli attacchi di phishing aziendale contengono spoofing del nome del display, il 30% viene aperto e il 12% dei babbei clicca sul link o sull'allegato, quindi le tue possibilità di fare un dollaro veloce sono buone se ti attieni alle mie regole. Buona fortuna!
Il dipendente medio affronta almeno un'email rischiosa al giorno e si prevede che l'email rimarrà il metodo di mira principale per la maggior parte degli attacchi fino al 2020. Negli ultimi due anni, i link fraudolenti inviati agli account di posta elettronica aziendali sono costati alle aziende più di due miliardi di dollari, con il 30% dei clienti che portano i loro affari altrove dopo una violazione.
Puoi permetterti che la tua organizzazione o anche il tuo account personale soffra a causa di uno di questi attacchi? Se la risposta è no, allora potreste essere interessati al nostro corso eLearning Essential Phishing Awareness che copre come identificare correttamente un phish e cosa fare quando ne individuate uno. Questo può anche essere integrato con il nostro software di simulazione di phishing 'MetaPhish' per aiutare ad aumentare la sensibilità dei vostri dipendenti alle email fraudolente.
Il più grande rischio di sicurezza informatica che la vostra azienda affronta quotidianamente è la compiacenza dei dipendenti e ora è il momento giusto per invertire la rotta. Parlate con noi oggi stesso per maggiori informazioni su come potreste salvare la vostra organizzazione da un attacco di phishing.
